Une nouvelle étude de l’Université James Cook avance que les restrictions toujours plus complexes de nombreux sites web en matière de sécurité des mots de passe mènent souvent à la frustration des utilisateurs et entraînent de mauvaises pratiques pour protéger les données et autres services normalement cachés derrière des portes numériques closes.
Le professeur adjoint Roberto Dillon s’est interrogé à la façon dont les utilisateurs réagissent à des exigences de plus en plus complexes, et si ces règles nuisent à la sécurité des mots de passe.
« Nos résultats confirment que plus les règles sont strictes pour les mots de passe, plus les utilisateurs se sentent en sécurité avec leurs informations », a-t-il déclaré. « Cependant, les résultats démontrent qu’un grand nombre de restrictions peut frustrer les utilisateurs. »
Au dire du Dr Dillon, cette frustration a poussé 75% des participants à utiliser des stratégies pour se souvenir de leurs mots de passe, y compris certaines qui menaçaient leur sécurité.
« La stratégie la plus populaire consistait à utiliser le même mot de passe sur plusieurs sites web », a-t-il ajouté.
Le Dr Dillon et son équipe ont mené une étude où les utilisateurs devaient créer un mot de passe à la suite d’un nombre croissant de restrictions, allant de « les mots de passe doivent contenir au moins huit caractères » à « les mots de passe doivent être différents des cinq précédents mots de passe ».
Les participants ont également dû indiquer s’ils avaient utilisé des stratégies pour se rappeler de leurs mots de passe, ainsi que les situations dans le cadre desquelles ils seraient tentés d’utiliser ces dernières.
« Les sites web nécessitent souvent des mots de passe qui comprennent une combinaison de caractères spéciaux, nombres, de lettres minuscules et majuscules, et plus », a-t-il dit. « Cela fait en sorte que les mots de passe sont moins à risque d’être compromis par des pirates, mais fait en sorte qu’il est plus difficile, pour les utilisateurs, d’inventer un mot de passe et de s’en rappeler. »
Si des mesures comme des gestionnaires de mots de passe et des protocoles d’identification à deux facteurs offrent des solutions à la gestion des mots de passe et pour assurer la protection de la vie privée, le Dr Dillon soutient qu’on y trouve encore des problèmes liés à leur utilisation, en plus d’imposer des contraintes aux utilisateurs.
Selon lui, il est plus intéressant de demander aux utilisateurs de créer une phrase longue, mais significative, qui servirait de mot de passe.
« C’est facile à garder en mémoire, mais assez long pour faire échouer les tentatives de piratage par la force brute », dit-il. « En même temps, les gestionnaires devraient éviter d’ajouter plusieurs restrictions, puisque cela pousse les utilisateurs à s’en remettre à des méthodes de contournement qui compromettent la sécurité des systèmes. »
